ASP.NET Security: Autenticação e segurança no ASP.NET � Parte 1

Natal DevMedia: Assine hoje e ganhe 3 meses gr�tis

Demais posts desta s�rie:
Autentica��o e seguran�a no ASP.NET � Parte 2
Salt: Autentica��o e seguran�a no ASP.NET � Parte 3

Artigo no estilo: Curso

Por que eu devo ler este artigo:Neste artigo veremos uma breve introdu��o �s dez amea�as mais comuns � seguran�a de suas aplica��es web e suas modalidades de ataques. Tamb�m abordaremos as amea�as mais graves e agressivas que podem atingir uma aplica��o ASP.NET, que s�o: a Inje��o, o XSS, a quebra de autentica��o, Gerenciamento de Sess�o e o CRLF. Nesta primeira parte falaremos apenas sobre Inje��o e XSS.

Quando a TI teve seu in�cio de forma popular e maci�a no Brasil na �ltima d�cada do s�culo XX, a seguran�a era um fator importante, mas n�o era um fator de natureza estrat�gica como � hoje, possivelmente por n�o existirem os ataques e os profissionais da informa��o que temos hoje.

Naquela �poca, ainda n�o �ramos a "Sociedade da Informa��o�, a internet ainda estava engatinhando. Aqui no Brasil, muitos usu�rios da internet conheceram as primeiras modalidades de ataques atrav�s do antigo IRC (Internet Relay Chat), no qual utilizavam um software chamado mIrc, criado por Khaled Mardam-Bey.

No que tange a seguran�a de aplica��es web veremos os conceitos de autentica��o e autoriza��o. O sucesso ou a falha de um bom projeto de seguran�a em uma aplica��o web se resume a estas duas palavras.

N�o creia que o seu site, feito nesta ou naquela linguagem de programa��o, que � julgada "inofensiva, simples e segura" n�o atrair� a aten��o de algum atacante. Muitas vezes, a origem dos ataques est� dentro da organiza��o, mais at� que os ataques externos. O seu site pode e deve ser atingido ou atacado at� por um port scanners que fluem por toda a internet. Todos os dias, milhares de pacotes UDP e TCP com destinos aleat�rios navegam na internet com o intuito de atingir e identificar vulnerabilidades de servidores mal configurados e mal dimensionados.

Muito se tem feito no campo da Seguran�a de Aplica��es Web e muito se tem debatido sobre o assunto em larga escala, a ponto de um grupo de grandes empresas se unir para difundir e criar as melhores pr�ticas em seguran�a da informa��o baseadas em boletins e estat�sticas anuais de ataques em todo o mundo. Esta uni�o de empresas deu in�cio a OWASP (BOX 1).

BOX 1. OWASP

O Open Web Application Security Project, ou Projeto Aberto para Seguran�a de Aplica��es Web, � uma organiza��o mundial sem fins lucrativos focada na melhoria da seguran�a de software de uma forma geral, tendo �nfase em seguran�a na web. Qualquer pessoa pode participar livremente da OWASP e todo o seu material est� dispon�vel sobre licen�a de software livre e aberto.

No site da OWASP podemos encontrar muitas fontes de informa��o sobre aplica��es seguras em ASP.NET, Java e outras linguagens.

Principais ataques �s aplica��es ASP.NET

Vamos verificar agora os ataques mais comuns a aplica��es ASP.NET. A OWASP criou uma literatura intitulada �Os dez riscos mais cr�ticos em aplica��es web�. Todos os anos o seu top 10 � divulgado, e tamb�m difunde sua metodologia de Taxa de Riscos, onde disp�e de uma escala, como podemos ver na Figura 1.

Figura 1. Metodologia para mensurar a Taxa de Riscos

De acordo com a pr�pria OWASP, esta metodologia foi criada porque somente o desenvolvedor sabe os detalhes de seu ambiente e por isso � a pessoa mais indicada para fazer tal avalia��o de seguran�a. Vamos a apresenta��o dos dez riscos.

Inje��o

Falhas por inje��o, tais como Inje��o por SQL, Inje��o no Sistema Operacional ou Inje��o via LDAP, ocorrem quando um dado n�o confi�vel � enviado para a aplica��o como parte de um comando ou consulta. O atacante utiliza de um dado malicioso que pode fazer com que a aplica��o execute comandos de forma n�o intencional, acessando e/ou gravando dados n�o autorizados.

Quebra de autentica��o e Gerenciamento de Sess�es

M�todos da aplica��o, respons�veis pela autentica��o e gerenciamento de sess�o, que n�o s�o implementados, quase sempre, da forma correta e permitem ao atacante comprometer o uso de senhas, chaves e vari�veis de sess�o ou explorar via exploit alguma falha capaz de faz�-lo assumir a identidade de algum usu�rio do sistema, causando grande dano ao sistema e principalmente � organiza��o.

Cross-Site Scripting (XSS)

Sem tradu��o exata para a nosso idioma, � um ataque que ocorre sempre que uma aplica��o gera dados n�o confi�veis e os envia a um navegador sem a valida��o correta e o tratamento adequado. Este ataque permite a execu��o remota de scripts ou trechos de c�digos no navegador da v�tima para roubar, ou sequestrar (hijacking) suas sess�es abertas, pichar web sites, mudando a sua p�gina inicial, ou redirecionar o usu�rio para sites com conte�do impr�prio com o intuito de roubar seus dados (phishing).

Refer�ncia Direta a objetos internos de forma insegura

Uma refer�ncia direta a um objeto ocorre quando um desenvolvedor exp�e uma refer�ncia interna atrav�s da implementa��o de um objeto, tais como um arquivo, um diret�rio ou uma senha de banco de dados. Sem um controle para checar o acesso ou qualquer outro tipo de prote��o, um atacante pode acessar e manipular estas refer�ncias atrav�s deste objeto exposto para ganhar acesso a dados sens�veis.

Configura��o de Seguran�a feita incorretamente

Boa seguran�a significa ter configura��o segura e est�vel e implementadas pela aplica��o, frameworks, servidores e plataforma. Todas essas configura��es devem ser definidas, implementadas e mantidas, j� que em sua totalidade, estas ferramentas v�m sempre com suas configura��es padr�o de seguran�a, o que hoje em dia n�o � o suficiente.

Isso tamb�m inclui a manuten��o de todos os softwares para se manterem atualizados, juntamente com todas as bibliotecas usadas pela aplica��o.

Exposi��o de dados estrat�gicos

Muitas aplica��es web n�o protegem corretamente seus dados mais cr�ticos e sens�veis, tais como CPFs, c�digos de cart�o de cr�dito, n�meros de identidades, n�meros de Carteiras de Habilita��o, Renavans e principalmente credenciais para autentica��o com hashing e criptografia apropriadas e est�veis.

O atacante pode roubar ou modificar estes dados protegidos de forma inconsistente, insegura e principalmente fraca para gerar roubo de identidade, fraudes de cart�es de cr�ditos, dentre outros crimes que j� conhecemos.

Falta de m�todos para controlar o n�vel de acesso dos usu ...

Quer ler esse conteúdo completo? Tenha acesso completo

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Por Gabriel Em 2014

Coment�rios nesta publica��o Escrever um coment�rio sobre conte�do

Assine hoje e aprenda com projetos reais e mentoria

Tudo o que voc� precisa para entrar na tecnologia, aprender r�pido e evoluir com clareza.
Conhecer Planos

M�todo para iniciantes

sem base nenhuma

Mentorias individuais

quando voc� travar

+40 projetos reais

para o seu portf�lio

+5000 exerc�cios

para fixar o conte�do

Suporte IA

que te ensina

No code e automa��es

pra entregar mais r�pido

+ 3 meses de assinatura gr�tis!

Oferta v�lida para todos os planos durante o m�s de dezembro

+3 MESES

Gr�tis

Veja os resultado dos nossos alunos

Conquistas reais de quem est� aplicando o m�todo

<Perguntas frequentes>

Carreira

Por onde devo iniciar os estudos?

Recomendamos come�ar pelo Plano de Estudo Carreira Programador Front-End. Essa �rea da programa��o � mais visual e intuitiva, tornando-a ideal para iniciantes. No Front-End, voc� aprender� a criar a parte visual dos sites, como layout, cores e interatividade. Depois de dominar o Front-End, voc� pode avan�ar para Programador Back-End, onde aprender� a lidar com a l�gica e o funcionamento interno dos sites, e, finalmente, para Programador Mobile, focando no desenvolvimento de aplicativos para smartphones. Nossa metodologia � estruturada de forma progressiva para garantir que voc� desenvolva confian�a e experi�ncia ao criar projetos reais, como sites est�ticos e din�micos.

Em quanto tempo vou me tornar um programador?

O tempo necess�rio para se tornar um programador varia de acordo com a dedica��o de cada estudante. Com nossa metodologia, que inclui um Plano de Estudo detalhado e suporte cont�nuo, voc� pode se tornar um programador de 6 meses a um ano, dependendo do seu ritmo e esfor�o. Nossa abordagem pr�tica e orientada a projetos ajudar� a acelerar seu aprendizado.

Eu preciso de um diploma de faculdade para come�ar a atuar como programador?

N�o. Ser programador � uma excelente oportunidade para quem n�o possui diploma de faculdade. Muitas empresas contratam baseadas nas habilidades t�cnicas e experi�ncia pr�tica, n�o necessariamente em diplomas. Ap�s conquistar uma vaga, voc� pode optar por complementar sua forma��o com um diploma.

Por que a programa��o se tornou a profiss�o mais promissora da atualidade?

A necessidade de programadores cresceu exponencialmente, especialmente ap�s a pandemia de Covid-19, que for�ou muitas empresas a se adaptarem ao digital. Com o crescimento das empresas de tecnologia, a demanda por programadores aumentou. Atualmente, h� mais de 200 mil vagas abertas no Brasil devido � falta de profissionais qualificados.

Metodologia

Quais s�o os principais diferenciais da DevMedia?

Did�tica e Metodologia Com mais de 20 anos de experi�ncia, nossa metodologia foca em menos aulas e mais pr�tica. Desenvolvemos dezenas de projetos e exerc�cios para ajudar voc� a se tornar um programador completo. Nossos projetos s�o desafiadores e aut�nticos, n�o apenas exerc�cios repetitivos.
Projetos reais e exerc�cios Voc� desenvolver� diversos projetos pr�ticos em cada carreira (Front-End, Back-End e Mobile), recebendo mentoria e suporte cont�nuo. A pr�tica � essencial, e oferecemos milhares de exerc�cios para ajudar voc� a fixar o conte�do e melhorar sua posi��o no ranking.
Suporte ao aluno Nossa plataforma oferece suporte dedicado com professores experientes, respondendo suas d�vidas em menos de uma hora. Isso garante que voc� receba a ajuda necess�ria durante toda a sua jornada de aprendizado.
Gamifica��o A DevMedia utiliza gamifica��o para tornar o aprendizado mais envolvente e motivador. Voc� acumula pontos e moedas por acertos, que podem ser trocados por produtos e customiza��es no seu card pessoal. Al�m disso, o sistema de ranking mensal incentiva a competi��o amig�vel e a melhoria cont�nua.

O que eu irei aprender estudando pela DevMedia?

Ao estudar conosco, voc� se tornar� um programador Full Stack, dominando Front-End, Back-End e Mobile. Utilizamos a linguagem JavaScript, a mais utilizada no mercado, preparando voc� para criar sistemas webs e aplicativos celulares. Nossa abordagem pr�tica inclui exerc�cios para fixar o conhecimento e desenvolvimento de projetos reais que te preparam, para o mercado de trabalho.

Quais as vantagens de aprender programa��o atrav�s da linguagem JavaScript?

Ela � Multiplataforma, ela vai te permitir programar para web e para celulares utilizando praticamente a mesma sintaxe.

El� � Full Stack. Ela te permite criar aplica��es Front-end, Back-end e Mobile. Isso acelera muito sua carreira e aumenta suas possibilidades de pegar trabalhos aut�nomos e conquistar uma vaga no mercado.

Ela � f�cil de aprender. Como ela n�o exige conhecimento inicial em �Orienta��o a Objetos� ela se torna mais simples com uma curva de aprendizado suave e vai te permitir come�ar a programar mais r�pido do que outras linguagens

A plataforma oferece certificados?

Sim, oferecemos dois tipos de certificados: o certificado de conclus�o, que voc� adquire ao consumir o conte�do, e o certificado de autoridade, que voc� obt�m ao acertar exerc�cios. Ambos possuem carga hor�ria, que pode ser utilizada para fins acad�micos, como atividades complementares na faculdade, e tamb�m para comprova��es em processos seletivos ou no seu curr�culo.

A plataforma tem suporte ao aluno, como funciona?

Sim, temos uma equipe de programadores pronta para ajudar com todas as suas d�vidas! Durante o hor�rio comercial, o tempo m�dio de resposta � de at� 10 minutos. E n�o se preocupe, tamb�m oferecemos suporte � noite e nos finais de semana, com um prazo de resposta um pouco maior.

A DevMedia me forma como programador Full Stack?

Sim! Oferecemos uma forma��o completa, do zero at� Full Stack. Nosso foco � na pr�tica, ent�o voc� vai encontrar muitos exerc�cios e projetos reais ao longo do curso. Garantimos que voc� sair� com a autonomia necess�ria para desenvolver seus pr�prios projetos com confian�a!

Tem hor�rio para as aulas?

N�o, n�o temos hor�rios fixos para as aulas. Todo o nosso conte�do est� dispon�vel para voc� acessar a qualquer momento, permitindo que voc� estude conforme sua pr�pria disponibilidade e ritmo. Dessa forma, voc� pode integrar o aprendizado � sua rotina de maneira mais flex�vel e eficaz.

Por que a DevMedia n�o usa videoaulas em sua did�tica?

Nosso foco principal � formar programadores de verdade. Sabemos que o dia a dia de um programador envolve muita leitura, interpreta��o e escrita de c�digo. Por isso, nosso conte�do � desenvolvido para ambientar voc� nesse processo desde o in�cio, proporcionando mais autonomia e acelerando seu aprendizado.
Na v�deo-aula � o professor que est� lendo, interpretando e escrevndo o c�digo para voc�, isso limita o seu progresso. Ao ler e interagir diretamente com o conte�do, voc� exercita sua capacidade de leitura e concentra��o, al�m de poder avan�ar no seu pr�prio ritmo. Dessa forma, voc� se torna um programador mais independente e preparado para os desafios reais do mercado.

Preciso de um computador espec�fico para estudar na DevMedia?

N�o � necess�rio nada espec�fico. Qualquer computador com processador atual e mem�ria de 8 GB � suficiente.

Eu consigo estudar pelo celular?

Sim, a DevMedia possui um aplicativo que te permite seguir com seus estudos de qualquer lugar.

A DevMedia tem aplicativo?

Sim, nosso aplicativo est� dispon�vel na Play Store e na Apple Store, permitindo que voc� estude de forma pr�tica e conveniente em qualquer lugar.

Preciso estar na faculdade para acompanhar os estudos na DevMedia?

N�o, a faculdade n�o � necess�ria. Voc� n�o precisa de nenhum conhecimento pr�vio para iniciar os estudos na nossa plataforma.

Assinatura e Pagamentos

Quais s�o os planos de assinatura dispon�veis?

Oferecemos o plano anual, o valor total � lan�ado no cart�o de cr�dito, parcelado em 12 vezes, e voc� precisa dispor do valor total no limite do seu cart�o. Voc� tamb�m pode optar por pagar no PIX

Adquirindo o plano, terei acesso a todo o conte�do?

Sim, ao assinar nossa plataforma, voc� desbloqueia acesso total a todo o nosso conte�do, sem precisar comprar nada separadamente.

A plataforma tem planos vital�cios?

N�o, nossos planos s�o anuais, garantindo que voc� tenha acesso cont�nuo �s atualiza��es mais recentes e aos novos conte�dos. A tecnologia evolui rapidamente, e um plano vital�cio oferece um conte�do est�tico que se tornar� ultrapassado em pouco tempo. Com nossos planos anuais, voc� est� sempre � frente, aprendendo as novidades e tend�ncias mais atuais no mundo da programa��o.

A DevMedia tem fidelidade?

Sim, nosso plano tem uma fidelidade de 12 meses, o que garante o tempo ideal para voc� explorar nosso conte�do e desenvolver a autonomia necess�ria para trabalhar com programa��o.

Como funciona o cancelamento?

N�s garantimos seu direito de cancelamento com reembolso total dentro dos primeiros 7 dias.
Para que voc� aproveite ao m�ximo seu investimento, oferecemos suporte personalizado para orient�-lo na utiliza��o da plataforma. Tamb�m temos a op��o de transfer�ncia de titularidade do plano, permitindo que outra pessoa aproveite o restante do seu per�odo de assinatura.

Cadastro

Como excluir meus dados da plataforma?

Para excluir seus dados da plataforma, acesse o link : https://www.devmedia.com.br/fale-conosco/ e abra um protocolo de 'Exclus�o de dados'. Nossa equipe processar� a solicita��o e remover� todas as informa��es do seu cadastro.